Человек за компьютером, фото из архива

Из банка в банк: МВД расследует аферу 22-летнего бакинца

899
(обновлено 15:09 27.12.2018)
Азербайджанские законы в сфере кибербезопасности требуют серьезной доработки: многих норм попросту нет, а за утечку персональных данных никто не отвечает, говорит эксперт по вопросам информационной безопасности.

БАКУ, 30 дек — Sputnik, Рамелла Ибрагимхалилова. Новое киберпреступление зарегистрировали сотрудники 21-го отделения полиции Насиминского района. Об этом Sputnik Азербайджан сообщили в Управлении полиции района.

Махинация с деньгами была совершена при помощи программы мобильного банкинга. В полицию из Unibank поступило письмо, в котором говорится, что житель Баку, 22-летний М.М. одним июльским вечером при помощи мобильного приложения совершил кражу. Юный хакер похитил со счета клиента Международного банка 400 долларов и перечислил их на свою дебетовую карту. В полиции отметили, что по договору, заключенному между банками, Unibank вернул украденные Мехтиевым деньги, но тем самым понес ущерб на указанную сумму.

В настоящее время по факту ведется расследование, пока никто не задержан. К работе привлечены специалисты подразделения МВД по борьбе с киберпреступностью, которым предстоит выяснить, при каких обстоятельствах было совершено хищение.

Случаи кражи денег с банковских счетов посредством мобильных приложений и интернет-сети в последнее время участились, отметили в Насиминском РУП.

К слову буквально на днях, в середине декабря сотрудники полиции Сабаильского района выявили жителя Мингячевира, который через интернет украл денежные средства с карты, принадлежащей жительнице Баку.

В Азербайджане надеются сократить число мошенничеств с ОСАГО>>

Между тем, как отметил в интервью Sputnik Азербайджан директор по IT-безопасности азербайджанского представительства компании Axoft Александр Тварадзе, многие банки и коммерческие организации в республике регулярно сталкиваются с проблемой кибератак и взломов с целью хищения денег, но никто в этом признаваться не хочет, чтобы не выглядеть несостоятельными в глазах своих клиентов.

"В Украине уже более семи лет существует система Exchange, к которой добровольно на платной основе подключены все банки. В систему вносится информация о мошенниках и аферистах, пользующихся услугами банков. К примеру, когда гражданин обращается за кредитом, банк проверяет его по базе данных указанной системы и если за ним замечены мошеннические действия, или у других банков были нарекания в отношении него, организация старается отказать в получении кредита", - сказал эксперт.

Аналогичные предложения для обеспечения безопасности работы с клиентами выдвигались и в Азербайджане, но ничего из этого не вышло - азербайджанские банки не хотят делиться своей информацией.

"В одной из коммерческих организаций, для которой мы разработали пилотный проект по IT-безопасности, в течение двух дней система зафиксировала факт хищения средств. Но несмотря на это, еще полгода пришлось объяснять организации, насколько необходима программа информационной безопасности и с какими угрозами они могут столкнуться. Пассивность банковских и коммерческих структур указывает на то, что они недооценивают ситуацию, происходящую в мире", - сказал Тварадзе.

На самом деле специалисты в сфере кибербезопасности предлагают организациям, как вариант, начинать защиту от угроз с малого и идти к большему, но проблема в том, что менеджмент не несет ответственности за утечку информации.

Детские руки в наколках: у футболиста, музыканта и автомеханика своя школа за решеткой>>

В Европе с лета этого года принят закон General Data Protection Regulation (GDPR), регулирующий распространение и использование личных данных. По нему пользователи из Евросоюза имеют право знать, как используются, кому передаются их персональные данные, предоставленные ими в интернете. В случае использования приватных данных пользователей в нарушение закона предусмотрен штраф до 20 миллионов евро.

Западные СМИ пишут, что компании Facebook и Microsoft ранее использовали существовавший пробел в законодательстве и размещали свои штаб-квартиры в странах с минимальным объемом защиты персональных данных пользователей.

"Иными словами, вы имеете право потребовать от компании удалить часть персональных данных, если они не связаны с рабочим процессом. Если у компании в результате взлома происходит утечка информации, то в течение трех дней она должна заявить об этом. В противном случае на нее накладывается штраф до 20 миллионов или три процента от годового дохода. Первыми под штрафы попали Apple и Facebook. Сейчас решается вопрос повторной выплаты этими компаниями штрафов (десятки миллионов долларов)", - рассказал Тварадзе.

В настоящее время компании, как только обнаруживают утечку данных или взлом системы, сразу же заявляют об этом, чтобы избежать больших штрафов. В Азербайджане же при наличии нескольких взломов банковских систем, которые были официально признаны, никто - ни менеджмент, ни звено, отвечающее за сохранность данных, никаких наказаний не понесли, поэтому банки так халатно относятся к этой серьезной проблеме.

Житель Сумгайыта пожалел, что связался с бакинцем>>

Тварадзе отметил и то, что азербайджанское законодательство по обеспечению информационной безопасности требует серьезной доработки. Очень многих норм у нас просто нет. В 2018 году Палата по надзору за финансовыми рынками Азербайджана приняла решение о том, что у банков должна быть система защиты в виде программ, защищающих от утечек конфиденциальной информации (DLP).

Но механизм оценки эффективности не прописан и нет механизма наказаний. Например, в России данный момент давно уже отработан. Понятно, что действующие нормы нуждаются в доработке, насколько они работоспособны и проходят тестирование - это уже следующие вопросы, но основной костяк контроля заложен.

Какие-то определенные моменты, считает Тварадзе, можно взять из стандартов PCI DSS (стандарт безопасности данных индустрии платёжных карт, разработанный Советом по стандартам безопасности индустрии платежных карт, учреждённым международными платёжными системами Visa, MasterCard, American Express, JCB и Discover). Раньше он касался только платежных систем и все организации, которые работают с упомянутыми платежным инструментами, должны отвечать нормативам PCI DSS.

Этот стандарт подразумевает защиту данных от утечек. Ежеквартально компании должны проходить тестирование с помощью специально назначенной аудиторской компании, в том числе проходить тесты на проникновение, иначе они лишатся сертификата PCI DSS и к примеру Visa останавливает работу с ними. С конца прошлого года эти требования стали распространяться на туристические агентства - это требование Международной ассоциации воздушного транспорта. Есть инициатива от Visa - требовать прохождение тестирования от банков, но принудить их нельзя.

"Думаю, хорошим мотивом для государства было бы разработать именно систему сертификаций, которые требовали бы от структур проходить периодические проверки - тестирование на соответствие каким-то нормативам безопасности. Можно также присоединиться к аналогичным американским либо европейским нормам или разработать их аналог. В Азербайджане есть закон о персональных данных, но он примитивен, нет механизма контроля, наказания за утечку данных", - сказал собеседник Sputnik.

Тварадзе также коснулся нарушений, которые допускаются государственными структурами и СМИ в Азербайджане. Очень часто на местных сайтах в статьях о хищениях средств со стороны чиновников приводятся фотографии их банковских выписок. С точки зрения защиты приватных данных это незаконно.

В Азербайджане возможно при помощи звонка операционисту в банк проверить счет конкретного клиента и за это никто не понесет никакой ответственности, продолжает эксперт. А ведь в банках хранится информация, начиная от личных накоплений граждан и заканчивая пенсионными выплатами, денные по детским счетам, государственным транзакциям. Все эти сведениям недостаточно защищены. Разглашение информации банками никак не наказывается.

899
Загрузка...


Орбита Sputnik